, informazioaren segurtasuneko gertakarien gehiengoa (%87) minutu gutxitan gertatzen da, eta enpresen %68rentzat hilabeteak behar dira haiek detektatzeko. Honek baieztatzen du , horren arabera, erakunde gehienek batez beste 206 egun behar izaten dituzte gorabehera bat detektatzeko. Gure ikerketen esperientzian oinarrituta, hackerrek konpainia baten azpiegiturak kontrola ditzakete urteetan zehar detektatu gabe. Horrela, gure adituek informazioaren segurtasuneko gertakari bat ikertu zuten erakundeetako batean, agerian geratu zen hacker-ek erakundearen azpiegitura osoa erabat kontrolatzen zutela eta informazio garrantzitsua aldizka lapurtzen zutela. .
Demagun dagoeneko SIEM bat exekutatzen duzula erregistroak bildu eta gertaerak aztertzen dituena, eta azken nodoetan birusen aurkako softwarea instalatuta dagoela. Hala ere, , sare osoan EDR sistemak ezartzea ezinezkoa den bezala, hau da, ezin dira saihestu puntu βitsuakβ. Sareko trafikoaren azterketa (NTA) sistemek horiei aurre egiten laguntzen dute. Irtenbide hauek erasotzaileen jarduera detektatzen dute sarean sartzearen hasierako faseetan, baita sarean kokatzea eta erasoa garatzeko saiakeretan ere.
Bi NTA mota daude: batzuk NetFlow-ekin lan egiten dute, beste batzuk trafiko gordina aztertzen dute. Bigarren sistemen abantaila da trafiko-erregistro gordinak gorde ditzaketela. Horri esker, informazioaren segurtasuneko espezialista batek erasoaren arrakasta egiaztatu, mehatxua lokalizatu, erasoa nola gertatu den uler dezake eta etorkizunean antzeko bat nola saihestu.
NTA erabiliz froga zuzenak edo zeharkakoak nola erabil ditzakezun erakutsiko dugu ezagutza-basean deskribatutako eraso-taktika ezagunak identifikatzeko . 12 taktika bakoitzari buruz hitz egingo dugu, trafikoak detektatzen dituen teknikak aztertuko ditugu eta gure NTA sistemaren bidez haien detekzioa erakutsiko dugu.
ATT&CK ezagutza-baseari buruz
MITRE ATT&CK MITRE Korporazioak garatu eta mantentzen duen ezagutza-base publikoa da, bizitza errealeko APTen analisian oinarrituta. Erasotzaileek erabiltzen dituzten taktiken eta tekniken multzo egituratua da. Horri esker, mundu osoko informazioaren segurtasuneko profesionalek hizkuntza bera hitz egin dezakete. Datu-basea etengabe zabaltzen ari da eta ezagutza berriekin osatzen da.
Datu-baseak 12 taktika identifikatzen ditu, ziber-eraso baten faseetan banatuta:
- hasierako sarbidea;
- exekuzioa;
- sendotzea (iraunkortasuna);
- pribilegioen igoera;
- detekzioaren prebentzioa (defentsa-ihesbidea);
- kredentzialak lortzea (kredentzialetarako sarbidea);
- esplorazioa;
- perimetroaren barruko mugimendua (alboko mugimendua);
- datu bilketa (bilketa);
- agintea eta kontrola;
- datuen filtrazioa;
- eragina.
Taktika bakoitzerako, ATT&CK ezagutza-baseak erasotzaileei erasoaren uneko fasean helburua lortzen laguntzen dieten tekniken zerrenda zerrendatzen du. Teknika bera fase desberdinetan erabil daitekeenez, hainbat taktikari erreferentzia egin diezaioke.
Teknika bakoitzaren deskribapenak honako hauek ditu:
- identifikatzailea;
- erabiltzen den taktiken zerrenda;
- APT taldeen erabilera adibideak;
- erabileraren kalteak murrizteko neurriak;
- detektatzeko gomendioak.
Informazioaren segurtasuneko espezialistek datu-baseko ezagutzak erabil ditzakete egungo eraso-metodoei buruzko informazioa egituratzeko eta, hori kontuan hartuta, segurtasun-sistema eraginkor bat eraikitzeko. Benetako APT taldeek nola funtzionatzen duten ulertzea ere hipotesi iturri bihur daiteke barruko mehatxuak modu proaktiboan bilatzeko. .
PT Network Attack Discovery-ri buruz
ATT&CK matrizeko tekniken erabilera identifikatuko dugu sistema erabiliz β Positive Technologies NTA sistema, perimetroan eta sare barruan erasoak detektatzeko diseinatua. PT NADek MITRE ATT&CK matrizeko 12 taktikak estaltzen ditu, neurri ezberdinetan. Hasierako sarbidea, alboko mugimendua eta aginte eta kontrolerako teknikak identifikatzeko ahaltsuena da. Horietan, PT NADk ezagutzen diren tekniken erdia baino gehiago hartzen ditu, zeinu zuzenen edo zeharkakoen bidez haien aplikazioa detektatuz.
Sistemak erasoak detektatzen ditu ATT&CK teknikak erabiliz, taldeak sortutako detekzio-arauak erabiliz (PT ESC), ikaskuntza automatikoa, konpromisoaren adierazleak, analisi sakona eta atzera begirako analisia. Denbora errealeko trafikoaren analisiak atzera begirakoarekin konbinatuta, egungo ezkutuko jarduera gaiztoak identifikatzeko eta garapen-bektoreak eta erasoen kronologiaren jarraipena egiteko aukera ematen du.
PT NAD-ra MITRE ATT&CK matrizearen mapa osoa. Irudia handia da, beraz, beste leiho batean ikustea gomendatzen dizugu.
Hasierako sarbidea
Hasierako sarbide-taktiken artean enpresa baten sarean sartzeko teknikak daude. Erasotzaileen helburua da erasotutako sistemari kode gaiztoa ematea eta gehiago exekutatzeko aukera ziurtatzea.
PT NAD-en trafikoaren azterketak hasierako sarbidea lortzeko zazpi teknika erakusten ditu:
1. : gidatzeko konpromisoa
Erasotzaileek web arakatzailea ustiatzeko eta aplikazioetarako sarbide-tokenak lortzeko erabiltzen duten webgunea irekitzen duen teknika.
Zer egiten du PT NADek?: Web-trafikoa ez badago enkriptatuta, PT NAD-k HTTP zerbitzariaren erantzunen edukia ikuskatzen du. Erantzun hauek erasotzaileei nabigatzaile barruan kode arbitrarioa exekutatzeko aukera ematen dieten ustiapenak dituzte. PT NAD-ek automatikoki detektatzen ditu horrelako ustiapenak detekzio-arauak erabiliz.
Gainera, PT NAD-ek mehatxua detektatzen du aurreko urratsean. Konpromisoaren arauak eta adierazleak abiarazten dira erabiltzaileak ustiapen ugari dituen gune batera birbideratzen duen gune bat bisitatzen badu.
2. : publikoari begirako aplikazioa ustiatu
Internetetik eskura daitezkeen zerbitzuetan ahultasunen ustiapena.
Zer egiten du PT NADek?: Sareko paketeen edukiaren ikuskapen sakona egiten du, jarduera anomaliaren zantzuak identifikatuz. Bereziki, edukiak kudeatzeko sistema nagusien (CMS), sareko ekipoen web interfazeen eta posta eta FTP zerbitzarien aurkako erasoak detektatzeko aukera ematen duten arauak daude.
3. : kanpoko urrutiko zerbitzuak
Erasotzaileek urruneko sarbide-zerbitzuak erabiltzen dituzte kanpotik barne sareko baliabideetara konektatzeko.
Zer egiten du PT NADek?: sistemak protokoloak ez ditu ataka-zenbakien arabera ezagutzen, paketeen edukiaren arabera baizik, sistemako erabiltzaileek trafikoa iragazi dezakete urruneko sarbide-protokoloen saio guztiak aurkitzeko eta haien zilegitasuna egiaztatzeko.
4. : spearphishing eranskina
Phishing eranskinen bidalketa sonatuaz ari gara.
Zer egiten du PT NADek?: Trafikotik fitxategiak automatikoki ateratzen ditu eta arriskuaren adierazleekin egiaztatzen ditu. Eranskinetako fitxategi exekutagarriak posta-trafikoaren edukia aztertzen duten arauek detektatzen dituzte. Ingurune korporatiboan, horrelako inbertsio bat anormaltzat hartzen da.
5. : spearphishing esteka
Phishing estekak erabiltzea. Teknikak erasotzaileek phishing-mezu bat bidaltzea dakar, klikatzean programa gaizto bat deskargatzen duen esteka batekin. Oro har, esteka ingeniaritza sozialeko arau guztien arabera osaturiko testu batekin batera dator.
Zer egiten du PT NADek?: phishing estekak detektatzen ditu arriskuaren adierazleak erabiliz. Adibidez, PT NAD interfazean HTTP konexio bat zegoen saio bat ikusten dugu phishing helbideen zerrendan (phishing-urls) sartutako esteka baten bidez.
Konexioa phishing-urlen konpromezuaren adierazleen zerrendako esteka baten bidez
6. : konfiantzazko harremana
Biktimaren sarera sarbidea biktimak konfiantzazko harremana ezarri duen hirugarrenen bitartez. Erasotzaileek konfiantzazko erakunde bat hackeatu dezakete eta xede-sarera konektatu daitezke haren bidez. Horretarako, VPN konexioak edo domeinu-konfiantza erabiltzen dituzte, trafikoaren analisiaren bidez identifikatu daitezkeenak.
Zer egiten du PT NADek?: aplikazio-protokoloak aztertzen ditu eta analizatutako eremuak datu-basean gordetzen ditu, informazio-segurtasun-analista batek iragazkiak erabil ditzake datu-basean VPN konexio susmagarri guztiak edo domeinuen arteko konexioak aurkitzeko.
7. : baliozko kontuak
Kanpoko eta barneko zerbitzuetan baimentzeko kredentzialak estandarrak, tokikoak edo domeinuak erabiltzea.
Zer egiten du PT NADek?: automatikoki lortzen ditu kredentzialak HTTP, FTP, SMTP, POP3, IMAP, SMB, DCE/RPC, SOCKS5, LDAP, Kerberos protokoloetatik. Oro har, saioa hasteko, pasahitza eta autentifikazio arrakastatsuaren seinale da. Erabili badira, dagokion saio-txartelean bistaratzen dira.
Exekuzioa
Exekuzio taktiken artean, erasotzaileek arriskuan dauden sistemetan kodea exekutatzeko erabiltzen dituzten teknikak daude. Kode gaiztoa exekutatzeak erasotzaileei presentzia ezartzen laguntzen die (iraunkortasun-taktika) eta sareko urruneko sistemetarako sarbidea zabaltzen laguntzen die perimetroaren barruan mugituz.
PT NAD-ek erasotzaileek kode gaiztoa exekutatzeko erabiltzen dituzten 14 tekniken erabilera detektatzeko aukera ematen du.
1. : CMSTP (Microsoft Connection Manager Profile Installer)
Erasotzaileek CMSTP.exe (Connection Manager Profile Installer) integratutako Windows utilitaterako instalazio INF fitxategi berezi bat prestatzen duten taktika. CMSTP.exe fitxategia parametro gisa hartzen du eta urruneko konexiorako zerbitzu profila instalatzen du. Ondorioz, CMSTP.exe erabil daiteke esteka dinamikoen liburutegiak (*.dll) edo scriptlet-ak (*.sct) urruneko zerbitzarietatik kargatzeko eta exekutatzeko.
Zer egiten du PT NADek?: automatikoki detektatzen du HTTP trafikoan INF fitxategi mota berezien transferentzia. Honetaz gain, scriptlet gaiztoen eta esteka dinamikoen liburutegien HTTP transmisioa detektatzen du urruneko zerbitzari batetik.
2. : komando-lerroko interfazea
Komando-lerroko interfazearekin interakzioa. Komando-lerroko interfazea lokalean edo urrunetik elkarreragin daiteke, adibidez, urruneko sarbidea utilitateak erabiliz.
Zer egiten du PT NADek?: automatikoki detektatzen du shell-en presentzia komandoen erantzunetan oinarrituta komando lerroko hainbat utilitate abiarazteko, hala nola ping, ifconfig.
3. : osagai-objektu-eredua eta banatutako COM
COM edo DCOM teknologiak erabiltzea tokiko edo urruneko sistemetan kodea exekutatzeko sare batean zehar mugitzen zaren bitartean.
Zer egiten du PT NADek?: Erasotzaileek programak abiarazteko erabili ohi dituzten DCOM dei susmagarriak hautematen ditu.
4. : bezeroen exekuziorako ustiapena
Ahultasunen ustiapena lan-estazio batean kode arbitrarioa exekutatzeko. Erasotzaileentzako baliagarrienak urruneko sistema batean kodea exekutatzea ahalbidetzen dutenak dira, erasotzaileei sistema horretara atzitzeko aukera ematen dietelako. Teknika metodo hauek erabiliz inplementa daiteke: posta maltzurra, nabigatzailearen ustiapenak dituen webgunea eta aplikazioen ahultasunen urrutiko ustiapena.
Zer egiten du PT NADek?: Posta-trafikoa analizatzean, PT NAD-ek eranskinetan fitxategi exekutagarriak dauden egiaztatzen du. Bulegoko dokumentuak automatikoki ateratzen ditu exploitak izan ditzaketen mezu elektronikoetatik. Ahuleziak ustiatzeko saiakerak trafikoan ikusten dira, eta PT NADek automatikoki detektatzen du.
5. : mshta
Erabili mshta.exe utilitatea, Microsoft HTML aplikazioak (HTA) exekutatzen dituena .hta luzapenarekin. Mshta-k arakatzailearen segurtasun-ezarpenak saihestuz fitxategiak prozesatzen dituenez, erasotzaileek mshta.exe erabil dezakete HTA, JavaScript edo VBScript fitxategi gaiztoak exekutatzeko.
Zer egiten du PT NADek?: mshta bidez exekutatzeko .hta fitxategiak ere sarearen bidez transmititzen dira - hori trafikoan ikus daiteke. PT NAD-k automatikoki detektatzen du horrelako fitxategi maltzurren transferentzia. Fitxategiak harrapatzen ditu, eta haiei buruzko informazioa saio-txartelean ikus daiteke.
6. : PowerShell
PowerShell erabiltzea informazioa aurkitzeko eta kode gaiztoa exekutatzeko.
Zer egiten du PT NADek?: PowerShell urruneko erasotzaileek erabiltzen dutenean, PT NAD-ek arauak erabiliz detektatzen du hori. Script gaiztoetan gehien erabiltzen diren PowerShell hizkuntza-gako-hitzak eta PowerShell script-en transmisioa SMB protokoloaren bidez detektatzen ditu.
7. : programatutako zeregina
Windows Task Scheduler eta beste utilitate batzuk erabiltzea une zehatz batzuetan programak edo scriptak automatikoki exekutatzeko.
Zer egiten du PT NADek?: erasotzaileek horrelako zereginak sortzen dituzte, normalean urrunetik, eta horrek esan nahi du horrelako saioak trafikoan ikusgai daudela. PT NAD-ek automatikoki detektatzen ditu zereginen sorrera eta aldaketa eragiketa susmagarriak ATSVC eta ITaskSchedulerService RPC interfazeak erabiliz.
8. : gidoia
Erasotzaileen hainbat ekintza automatizatzeko scripten exekuzioa.
Zer egiten du PT NADek?: scripten transmisioa detektatzen du sarean, hau da, abiarazi aurretik ere. Trafiko gordinean script-edukia detektatzen du eta scripting-lengoaia ezagunei dagozkien luzapenak dituzten fitxategien sareko transmisioa hautematen du.
9. : zerbitzuaren exekuzioa
Exekutatu fitxategi exekutagarri bat, komando-lerroko interfazearen argibideak edo script-a Windows zerbitzuekin elkarreraginarekin, hala nola Service Control Manager (SCM).
Zer egiten du PT NADek?: SMB trafikoa ikuskatzen du eta SCMrako sarbidea detektatzen du zerbitzu bat sortzeko, aldatzeko eta abiarazteko arauekin.
Zerbitzua abiarazteko teknika PSExec urruneko komandoak exekutatzeko utilitatea erabiliz inplementa daiteke. PT NAD-ek SMB protokoloa aztertzen du eta PSExec-en erabilera detektatzen du PSEXESVC.exe fitxategia edo PSEXECSVC zerbitzu-izen estandarra erabiltzen duenean kodea urruneko makina batean exekutatzeko. Erabiltzaileak exekutaturiko komandoen zerrenda eta ostalaritik urruneko komandoen exekuzioaren zilegitasuna egiaztatu behar ditu.
PT NAD-en eraso-txartelak ATT&CK matrizearen arabera erabilitako taktikei eta teknikei buruzko datuak bistaratzen ditu, erabiltzaileak uler dezan erasotzaileak zein fasetan dauden erasotzaileak, zer helburu bilatzen ari diren eta zer konpentsazio-neurri hartu behar dituen.
PSExec utilitatea erabiltzeari buruzko araua abiarazten da, eta horrek urruneko makina batean komandoak exekutatzeko saiakera adierazi dezake.
10. : hirugarrenen softwarea
Erasotzaileek urruneko administrazioko softwarea edo korporazioko softwarea zabaltzeko sistemara atzitu eta kode gaiztoa exekutatzeko erabiltzen duten teknika. Software horren adibideak: SCCM, VNC, TeamViewer, HBSS, Altiris.
Bide batez, teknika bereziki garrantzitsua da urrutiko lanerako trantsizio masiboarekin lotuta eta, ondorioz, babesik gabeko etxeko gailu ugari konektatzeko urrutiko sarbide bide dudazkoen bidez.
Zer egiten du PT NADek?: automatikoki detektatzen du software horren funtzionamendua sarean. Esate baterako, arauak VNC protokoloaren bidezko konexioek eta EvilVNC Troiakoaren jarduerak abiarazten dituzte, ezkutuan VNC zerbitzari bat biktimen ostalarian instalatzen baitu eta automatikoki abiarazten du. Gainera, PT NADek TeamViewer protokoloa automatikoki detektatzen du, honek analistari, iragazki bat erabiliz, horrelako saio guztiak aurkitzen eta haien zilegitasuna egiaztatzen laguntzen dio.
11. : erabiltzaileen exekuzioa
Erabiltzaileak kodea exekutatzeko ekar dezaketen fitxategiak exekutatzen dituen teknika. Hau izan daiteke, adibidez, fitxategi exekutagarri bat irekitzen badu edo makro batekin bulegoko dokumentu bat exekutatzen badu.
Zer egiten du PT NADek?: horrelako fitxategiak transferentzia fasean ikusten ditu, abiarazi aurretik. Haiei buruzko informazioa transmititu ziren saioetako fitxan azter daiteke.
12. :Windows Kudeatzeko Tresnamendua
Windows sistemaren osagaietarako tokiko eta urruneko sarbidea eskaintzen duen WMI tresna erabiltzea. WMI erabiliz, erasotzaileek tokiko eta urruneko sistemekin elkarreragin dezakete eta hainbat zeregin egin ditzakete, hala nola informazioa biltzea ezagutza helburuetarako eta prozesuak urrunetik abiarazi albotik mugitzen diren bitartean.
Zer egiten du PT NADek?: WMI bidez urruneko sistemekin interakzioak trafikoan ikusten direnez, PT NAD-k automatikoki detektatzen ditu sareko eskaerak WMI saioak ezartzeko eta trafikoa egiaztatzen du WMI erabiltzen duten scripten bila.
13. : Windows Urruneko Kudeaketa
Erabiltzaileari urruneko sistemekin elkarreragiteko aukera ematen dion Windows zerbitzu eta protokolo bat erabiltzea.
Zer egiten du PT NADek?: Windows Urruneko Kudeaketa erabiliz sareko konexioak ikusten ditu. Arauek automatikoki detektatzen dituzte horrelako saioak.
14. : XSL (Extensible Stylesheet Language) script prozesatzea
XSL estiloko markatze-lengoaia XML fitxategietako datuen prozesamendua eta bistaratzea deskribatzeko erabiltzen da. Eragiketa konplexuak onartzeko, XSL estandarrak hainbat hizkuntzatako script txertatuak onartzen ditu. Hizkuntza hauek kode arbitrarioa exekutatzeko aukera ematen dute, eta horrek zerrenda zurietan oinarritutako segurtasun politikak saihestea dakar.
Zer egiten du PT NADek?: sarean horrelako fitxategien transferentzia detektatzen du, hau da, abiarazi aurretik ere. Automatikoki detektatzen ditu sarean transmititzen ari diren XSL fitxategiak eta XSL markaketa anormala duten fitxategiak.
Hurrengo materialetan, PT Network Attack Discovery NTA sistemak MITRE ATT&CK-ren arabera erasotzaileen beste taktika eta teknika batzuk nola aurkitzen dituen aztertuko dugu. Egon adi!
Authors:
- Anton Kutepov, PT Expert Security Center-eko espezialista, Positive Technologies
- Natalia Kazankova, Positive Technologies-eko produktuen merkaturatzailea
Iturria: www.habr.com